摘要钓鱼即服务PhaaS降低了网络诈骗的技术门槛催生了规模化、产业化的网络钓鱼生态。本文以 Group-IB 2026 年披露的 SniperDz 平台为研究对象系统性剖析该 PhaaS 平台的运营模式、模板体系、多层跳转攻击链路、浏览器劫持技术及流量变现机制。该平台自 2014 年上线配备 80 余款仿冒全球知名品牌的钓鱼模板依托 Linktree、Linkbio 等正规聚合链接服务实现流量伪装结合页面隐身、浏览器历史篡改、标签劫持、推送通知劫持等技术绕过传统安全检测体系并根据受害者地域、设备、运营商动态匹配高额收费短信、付费电话、投资诈骗等变现渠道。本文梳理 SniperDz 关联的 900 余个恶意域名、IP 地址等基础设施特征分析现有网络安全防护体系针对此类复合型诈骗攻击的短板结合攻击技术特征编写对应检测代码实现恶意跳转链路、异常浏览器脚本、违规推送通知的自动化识别。研究结合平台运营特征与攻击手法从技术检测、权限管控、流量治理、用户安全教育、跨境协同治理五个维度构建全流程防御体系。反网络钓鱼技术专家芦笛指出以 SniperDz 为代表的成熟 PhaaS 生态已完成从单一凭证窃取向多元流量变现的转型传统基于恶意域名、静态页面特征的防御手段有效性持续下降。本研究可为网络安全运维人员、应急响应团队、监管机构识别、溯源、处置同类 PhaaS 攻击提供详实的数据参考与技术实践方案。关键词钓鱼即服务SniperDz浏览器劫持推送通知滥用多层跳转网络诈骗防御1 引言网络钓鱼是当前全球传播范围最广、产业化程度最高的网络威胁之一而钓鱼即服务PhaaS模式的出现彻底打破了网络攻击的技术壁垒。攻击者无需掌握网站开发、脚本编写、流量运营等专业技能仅需借助标准化平台提供的模板、工具与基础设施即可快速搭建钓鱼活动并实现盈利这也让网络诈骗呈现出低门槛、规模化、复杂化、多元化变现的发展趋势。Group-IB 在针对中东和北非地区网络威胁开展专项调查过程中发现大量仿冒政客、公众人物、通信运营商的社交媒体诈骗账号。此类账号以免费流量、政府补贴、现金补偿等福利为诱饵引导用户点击链接最终指向统一的后台运营体系。经过流量溯源、样本分析与基础设施关联研判研究人员定位到支撑该系列诈骗活动的核心平台 ——SniperDz。该平台是一款综合性 PhaaS 与推送通知即服务PNaaS一体化生态系统自 2014 年首次被观测到活跃期间先后使用 JokerDz、StormDz、SpamDz 等多个别名长期活跃于全球网络黑产领域。与传统单一窃取账号密码的钓鱼平台不同SniperDz 构建了完整的 “引流 - 伪装 - 劫持 - 变现” 闭环生态。平台内置多语种钓鱼模板覆盖金融、社交、流媒体、游戏等多个高价值行业在传播环节滥用主流链接聚合平台实现多层跳转规避社交媒体与防火墙的基础检测在交互环节运用页面隐身技术、浏览器历史篡改、标签劫持、推送通知劫持等多种浏览器操控手段强制滞留用户流量在变现环节基于用户画像动态分发不同诈骗模式包括高额收费短信订阅、付费电话、虚假投资、客户信息倒卖等。截至目前该平台关联的可疑域名数量已超过 900 个依托统一托管服务商搭建分布式基础设施攻击辐射范围覆盖全球多个国家和地区。当前国内及全球多数安全防护方案主要针对传统直连式钓鱼链接、静态恶意页面开展检测对于多层跳转、依托正规平台中转、滥用浏览器原生功能的复合型诈骗攻击识别能力不足。同时网络安全研究领域针对 SniperDz 这类老牌综合性 PhaaS 平台的全链路拆解、技术特征提取、自动化检测方案的落地研究相对有限。基于这一现实背景本文以 Group-IB 公开的一手监测数据与样本信息为基础逐层拆解 SniperDz 平台的架构、攻击流程、核心技术、变现模式与基础设施特征编写适配实战场景的检测代码客观分析防御难点并搭建分层防御体系。全文研究范围聚焦 SniperDz 生态的攻击技术与对抗策略不拓展至其他无关 PhaaS 平台保证论据闭环、主题聚焦为应对同类产业化钓鱼攻击提供实践支撑。2 SniperDz 平台整体概况与基础特征2.1 平台发展历程与基础属性SniperDz 是一款运营周期长达十余年的老牌黑产服务平台首次活跃记录可追溯至 2014 年 11 月在长期运营过程中不断迭代功能、拓展业务场景、更换对外名称以规避溯源打击先后使用 JokerDz、StormDz、SpamDz 等多个别名。该平台核心定位为附属联盟式 PhaaSPNaaS 综合服务生态面向全球低技术门槛黑产从业者提供一站式诈骗解决方案使用者无需具备网页开发、脚本编写、网络运维等专业能力依托平台现成工具即可批量开展诈骗活动。从技术能力与工具集来看SniperDz 团队掌握完整的前端脚本开发能力擅长制作钓鱼页面、编写点击劫持、浏览器历史篡改、标签劫持等恶意 JavaScript 脚本同时精通流量伪装、反爬虫、域名伪装、免费托管平台利用等规避检测技术还深度布局手机计费、高额短信订阅等电信诈骗业务形成了技术、流量、变现三位一体的黑产体系。平台目标覆盖全球范围重点深耕中东和北非区域结合当地语言、民俗、消费习惯定制诈骗内容本地化运营特征十分显著。从盈利动机分析该平台所有功能设计均围绕非法获利展开早期业务以窃取社交账号、金融平台凭证为主随着技术迭代与生态扩张逐步拓展出浏览器推送通知劫持、付费电话扣费、高额短信订阅、虚假投资、用户信息倒卖、联盟营销诈骗等多元盈利渠道单一攻击链路可同时实现多种变现方式大幅提升流量收益。2.2 钓鱼模板体系与语种适配模板库是 SniperDz 吸引下游黑产从业者的核心优势平台内置80 套独立钓鱼模板可仿冒全球超过 30 个知名主流品牌覆盖金融服务、社交媒体、流媒体、游戏商城、电子邮箱、通信运营商、政府机构等多个高价值行业。其中典型仿冒对象包括支付平台 PayPal、社交平台 Facebook 与 Instagram、流媒体平台 Netflix、游戏平台 Steam、邮箱服务 Yahoo 等基本囊括全球用户基数大、资产价值高的互联网服务。为适配全球化运营需求平台模板支持多语种切换主流语种包含阿拉伯语、英语、法语历史版本还曾上线西班牙语、希伯来语模板精准匹配不同区域用户的语言习惯。针对中东和北非核心运营区域平台专门强化阿拉伯语模板的本地化设计结合当地通信运营商品牌、福利活动风格制作诈骗页面大幅提升欺骗性。除此之外平台研发专属工具实现钓鱼页面转 Google Blogger 页面功能。该工具可将定制化钓鱼页面快速转换为谷歌博客站点格式借助 Google Blogger 免费托管服务搭建诈骗页面。此举具备双重优势一是零托管成本降低黑产运营开支二是借用谷歌域名的高信誉度绕过基于域名年龄、域名信誉的安全过滤规则进一步提升钓鱼链接的存活时间与传播能力。反网络钓鱼技术专家芦笛强调滥用正规免费托管平台、借用合法域名信誉是当前 PhaaS 平台规避防御的主流手段也让传统域名黑名单体系的防护效果持续弱化。2.3 目标行业与攻击传播渠道结合监测数据统计SniperDz 的攻击目标行业呈现明显的价值导向特征优先级从高到低依次为金融服务、社交媒体、网络游戏、通信运营商、电子邮箱、政府机构。金融与社交平台存储用户资金、账号、隐私信息直接对应账号盗取、财产诈骗通信运营商是中东地区诈骗的核心载体依托本地免费流量、话费补贴等诱饵结合电信扣费渠道实现快速变现政府机构相关模板则主要用于窃取涉密信息、开展舆论诱导。在传播渠道方面该平台以社交媒体为核心引流入口主要依托 Facebook、Instagram 等平台发布诈骗内容。攻击者注册大量仿冒政客、公众人物、地方通信运营商的社交媒体账号发布带有福利诱惑的帖子引导用户点击链接。为规避社交媒体平台的安全检测攻击者极少使用直连恶意域名的方式而是采用多层跳转架构这也成为 SniperDz 攻击链路的核心特征。3 SniperDz 完整攻击链路分层解析SniperDz 构建了一套标准化、流程化的多层级诈骗漏斗从最初的社交引流到最终的流量变现整体划分为社交诱饵层、链接伪装中转层、浏览器劫持陷阱层、多元变现层四个核心阶段每个阶段搭配专属技术手段规避检测、滞留用户、实现盈利各环节衔接紧密形成完整闭环。3.1 第一阶段社交诱饵搭建与初始引流该阶段是攻击的起点核心目标是利用社会工程学手段获取用户信任引导用户主动触发链接跳转。攻击者主要依托 Facebook、Instagram 等主流社交媒体开展活动核心操作分为账号伪装、内容制作、诱饵投放三部分。在账号伪装环节攻击者批量注册社交媒体账号头像、昵称、简介全面仿冒当地知名政客、公众人物、区域通信运营商官方账号部分账号还会伪造平台认证标识进一步提升可信度。在内容制作环节结合目标区域用户需求设计诱饵中东和北非地区以免费移动流量、大额话费补贴、政府现金补偿、限时福利礼包为主文案使用本地阿拉伯语编写排版、风格完全模仿正规运营商宣传内容贴合当地用户认知。在诱饵投放环节诈骗帖子公开发布在社交账号主页、社群、推荐信息流中文案附带行动指令诱导用户 “点击链接领取福利”“输入手机号完成登记”。从表面来看此类帖子与正常商业推广内容无明显差异普通用户难以分辨真伪。该阶段不直接放置恶意链接为后续多层中转埋下伏笔。3.2 第二阶段正规平台中转与流量伪装为绕过社交媒体平台的恶意链接检测机制SniperDz 全面放弃直连恶意域名的模式采用可信链接聚合平台作为中转节点这也是整个攻击链路中最关键的伪装环节。攻击者主要滥用 Linktree、Linkbio 等全球知名链接聚合服务这类平台拥有极高的域名信誉主流安全设备、社交媒体平台通常不会对其进行拦截。具体流程为社交媒体帖子中放置指向 Linktree、Linkbio 旗下域名例如 fanlnk.to的链接用户点击后首先跳转至链接聚合平台的伪装落地页。该落地页沿用此前的福利宣传主题页面内设置多个功能按钮表面上区分不同福利类型但后台代码显示页面内所有按钮均指向同一个攻击者控制的追踪域名。无论用户点击任意按钮流量都会统一被导向 SniperDz 的核心恶意基础设施。多层中转架构具备极强的对抗能力第一层社交媒体平台链接指向高信誉聚合域名规避初始拦截第二层聚合平台页面作为过渡模糊流量去向第三层才真正接入恶意站点。多层跳转拉长了流量路径增加了安全设备全链路检测的难度同时正规平台的域名信誉能够掩护后端恶意流量。同时该阶段站点还集成隐身Cloaking技术具备访问者识别能力当检测到安全研究员、网络爬虫、自动化扫描工具访问时页面会自动切换为正常错误页面隐藏恶意内容仅对普通真实用户展示诈骗页面从源头规避样本抓取与特征分析。3.3 第三阶段浏览器劫持与用户滞留陷阱流量进入攻击者核心基础设施后便进入陷阱阶段。该阶段综合运用推送通知劫持、浏览器历史篡改、标签劫持三大浏览器操控技术核心目标是长期控制用户浏览器、阻止用户退出诈骗链路、维持流量价值也是 SniperDz 技术复杂度最高的环节。3.3.1 浏览器推送通知劫持这是该平台实现长期持续引流的核心技术。用户跳转至恶意页面后页面展示加载动画与引导文字提示用户 “点击允许以继续领取福利”“点击允许完成身份验证”将浏览器推送通知请求伪装成福利领取的必要步骤。普通用户在福利诱惑下往往会直接点击 “允许” 按钮。页面后台脚本调用统一的 VAPID 公钥完成推送订阅注册该公钥在 SniperDz 所有诈骗样本中重复出现成为识别该生态的重要基础设施指纹。一旦用户授权脚本会收集推送订阅令牌、用户语言、设备信息、追踪标识等数据并回传至攻击者服务器。此后即便用户关闭当前页面攻击者仍可通过浏览器推送功能持续向用户推送诈骗广告、钓鱼链接、各类欺诈内容实现长期流量复用。3.3.2 浏览器历史篡改返回按钮陷阱为防止用户发现异常后退出页面平台部署浏览器历史篡改代码。脚本会自动向用户的浏览器历史记录中批量插入 10 条以上虚假访问记录。当用户点击浏览器 “返回” 按钮试图退出时并不会回到上一级正规页面而是在虚假历史记录中循环跳转陷入 “返回按钮监狱”始终停留在攻击者控制的站点范围内无法脱离诈骗生态。该技术针对普通用户的操作习惯设计大幅提升用户滞留时长。3.3.3 标签劫持Tab-under该技术主要用于多标签浏览场景。当用户点击页面内链接新建浏览器标签时脚本会触发延迟跳转逻辑新标签打开目标页面的同时原本的标签页会在后台静默跳转至其他恶意站点。这种方式能够在用户无感知的情况下进一步扩大恶意流量规模最大化流量变现收益。三大技术组合使用构建了立体化的用户滞留体系短期限制用户退出页面长期通过推送通知持续控制终端让单次引流行为产生多次变现价值。3.4 第四阶段用户画像匹配与多元流量变现完成浏览器权限劫持后平台进入最终的变现环节。SniperDz 搭建了中心化流量分发引擎具备用户画像识别与动态路由能力服务器自动采集用户终端类型、所在地理位置、手机运营商等信息根据不同画像将流量导向对应变现渠道实现收益最大化。平台主要包含四类变现模式覆盖即时扣费与长期信息窃取两大方向。第一类是高额付费电话诈骗。系统识别用户手机运营商后页面引导用户拨打指定号码 “兑换奖品”“验证资格”该号码属于国际高额收费服务热线通话费用会直接通过手机运营商结算攻击者按照通话时长获取分成收益。第二类是高额短信订阅诈骗。页面伪装成趣味答题、资格调查问卷用户完成交互后后台会在无明确告知的情况下为用户开通自动续费的高额短信订阅服务持续扣除手机话费且订阅服务隐蔽性较强普通用户难以发现与取消。第三类是虚假投资诈骗。针对特定区域、特定设备的用户流量会被导向仿冒财经媒体、虚拟货币交易、股票交易的虚假投资平台。页面诱导用户填写姓名、手机号、邮箱等个人信息收集的敏感数据一方面用于后续精准诈骗另一方面可批量出售给黑产下游实现数据变现。第四类是联盟营销诈骗与二次引流。部分流量会被导向各类灰色联盟广告、第三方诈骗站点攻击者依靠流量分成获取收益。同时结合此前劫持的浏览器推送权限持续推送各类诈骗内容形成循环引流。整体来看SniperDz 并非单一钓鱼站点而是以流量为核心的综合型黑产交易平台所有技术设计、链路搭建最终均服务于流量变现产业化特征极为突出。3.5 平台基础设施与关联资产经过 Group-IB 溯源分析SniperDz 生态拥有规模化的基础设施集群核心托管服务商为 Horizon IQ关联三台核心 IP 节点65.60.9.236、108.178.23.118、184.154.10.254。这三组 IP 关联了超过 900 个可疑域名其中典型代表性域名包括 win.feezossl.xyz、win.anababayala.com、aff.bnaosf1he.shop、offer.raviral.com等。这些域名分工明确分别承担流量跳转、页面托管、数据接收、推送服务等不同功能域名体系庞大且更新频繁。同时平台复用同一组 VAPID 公钥作为推送服务的统一标识该指纹不受域名、IP 变更影响是跨样本、跨活动关联 SniperDz 攻击的核心特征。基础设施的集中托管、大规模域名集群、固定技术指纹也为安全团队开展溯源、批量处置提供了关键依据。4 SniperDz 攻击核心技术特征与检测难点4.1 核心技术特征汇总结合全链路分析将 SniperDz 生态的核心技术特征归纳为五大类这也是区分其与传统钓鱼攻击的关键多层跳转 正规平台中转依赖 Linktree、Linkbio、Google Blogger 等高信誉合法平台作为中间节点恶意流量嵌套在正规流量之中链路层级多、节点可信度高。隐身对抗技术区分普通用户与扫描爬虫、安全研究员对自动化检测工具展示无害页面规避样本捕获与特征提取。浏览器深度操控集成历史记录篡改、标签劫持、推送通知劫持三类脚本利用浏览器原生功能实现用户控制与流量滞留不属于传统恶意软件范畴。统一技术指纹全平台复用固定 VAPID 公钥该指纹独立于域名、IP可作为跨场景识别攻击的核心标识。动态流量分发基于地域、设备、运营商构建用户画像智能匹配不同变现模式攻击策略具备动态化特征。4.2 现有防御体系的检测难点传统网络安全防护体系针对此类攻击存在多重短板也是该平台能够长期活跃的主要原因域名黑名单失效攻击大量使用正规平台域名、免费托管域名此类域名无法被全域封禁同时平台拥有 900 余个动态更新的恶意域名黑名单难以实时全覆盖。静态页面特征匹配失效隐身技术导致扫描工具无法获取真实恶意页面内容基于页面关键词、脚本特征的静态检测规则无法生效。忽视浏览器行为风险传统防护聚焦病毒、木马、恶意文件对浏览器脚本篡改历史、劫持标签、滥用推送通知等无文件攻击识别能力不足。流量链路检测缺失现有设备大多仅检测终端直连链接缺乏对多层跳转全链路的回溯与分析能力无法定位链路末端的恶意节点。跨场景关联能力不足单一域名、IP 的告警相互独立无法依托 VAPID 公钥这类技术指纹将分散的攻击活动关联至同一生态。反网络钓鱼技术专家芦笛强调SniperDz 这类新型 PhaaS 攻击的核心威胁已经从 “恶意文件” 转向 “恶意行为”网络安全防护的重心必须从静态特征拦截转向动态行为分析、全链路流量追溯与终端行为管控。5 针对性检测代码设计与实现结合前文梳理的技术特征与检测难点本文基于 Python 语言编写三套检测代码分别实现多层跳转链路检测、VAPID 公钥指纹识别、浏览器异常脚本检测覆盖网络链路层、页面特征层、终端脚本层代码贴合实战场景附带原理说明、使用场景与能力边界可直接部署于安全网关、威胁研判平台、终端检测工具中。5.1 多层跳转链路检测代码5.1.1 技术原理SniperDz 攻击存在明显的多层跳转特征且常以 Linktree、Linkbio 作为中转节点。本代码递归追踪 URL 跳转链路统计跳转层数识别高风险中转域名记录最终落地页地址实现全链路可视化检测适用于安全运维人员对可疑链接进行溯源研判。5.1.2 运行环境与依赖运行环境Python 3.7 及以上依赖库requests、urllib.parse。安装命令pip install requests。5.1.3 完整代码实现# 多层URL跳转链路检测工具# 功能递归追踪跳转链接识别Linktree/Linkbio高危中转节点统计跳转层数import requestsfrom urllib.parse import urlparsefrom requests.exceptions import RequestException# 配置参数# SniperDz常用高危中转域名HIGH_RISK_RELAY {linktr.ee, linkbio.co, fanlnk.to}# 最大跳转层数防止死循环MAX_REDIRECT_DEPTH 10# 请求头模拟正常浏览器HEADERS {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def trace_redirect_chain(start_url: str) - dict:追踪URL跳转链路返回链路详情、层数、风险标记chain []current_url start_urldepth 0risk_flag 正常while depth MAX_REDIRECT_DEPTH:parse_res urlparse(current_url)domain parse_res.netloc# 记录当前节点chain.append({depth: depth 1,url: current_url,domain: domain})# 检测是否为高危中转域名if domain in HIGH_RISK_RELAY:risk_flag 高危存在PhaaS中转节点try:# 关闭自动跳转手动捕获3xx跳转状态码resp requests.get(current_url, headersHEADERS, allow_redirectsFalse, timeout8)# 3xx状态码代表跳转if 300 resp.status_code 310:next_url resp.headers.get(Location)if not next_url:breakcurrent_url next_urldepth 1else:# 无跳转链路结束breakexcept RequestException:chain.append({depth: depth 1, url: current_url, domain: domain, note: 访问失败})breakreturn {start_url: start_url,redirect_count: len(chain) - 1,full_chain: chain,risk_level: risk_flag,final_url: chain[-1][url] if chain else }def batch_check(url_list: list):批量检测URL跳转链路print( 多层跳转链路检测结果 )for url in url_list:result trace_redirect_chain(url)print(f初始链接{result[start_url]})print(f跳转层数{result[redirect_count]} | 风险等级{result[risk_level]})print(完整链路)for node in result[full_chain]:print(f 第{node[depth]}层{node[url]})print(- * 80)if __name__ __main__:# 测试用例包含正常链接、含Linkbio中转的恶意链接test_urls [https://www.official-telecom.com/promotion,https://fanlnk.to/relay123,https://linktr.ee/telecom-offer]batch_check(test_urls)5.1.4 代码说明与能力边界本代码手动捕获 HTTP 3xx 跳转状态码递归解析全链路节点精准识别 SniperDz 常用的链接聚合平台。适用于威胁情报研判、邮件网关可疑链接筛查。能力边界无法识别页面内 JS 实现的前端跳转仅能检测 HTTP 协议层面的服务端跳转需持续更新HIGH_RISK_RELAY域名列表适配新的中转节点。5.2 VAPID 公钥指纹检测代码5.2.1 技术原理固定 VAPID 公钥是 SniperDz 生态的核心指纹。本代码请求页面 HTML 内容正则匹配页面中出现的 VAPID 公钥字符串以此判断页面是否归属该诈骗生态适用于恶意页面样本研判、内网站点巡检。5.2.2 运行环境与依赖Python 3.6 及以上依赖requests、re库。安装命令pip install requests。5.2.3 完整代码实现# VAPID公钥指纹检测工具# 功能检测页面中是否存在SniperDz专属VAPID公钥识别关联攻击页面import reimport requestsfrom requests.exceptions import RequestException# SniperDz全样本复用的VAPID公钥SNIPERDZ_VAPID_KEY BHR8bZ93X3YNBNQcN_dGRYtnWqdsJXR2bXqq3vhfBL1TpfZqrGKXYxATKGNHa25HyaghKK8ZiaFXbIgJqY2624A# 正则匹配VAPID密钥片段vapid_pattern re.compile(re.escape(SNIPERDZ_VAPID_KEY))HEADERS {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def check_vapid_fingerprint(url: str) - dict:检测页面VAPID指纹result {url: url,access_status: 正常,is_sniperdz: False,detail: }if not url.startswith((http://, https://)):result[access_status] 协议非法return resulttry:resp requests.get(url, headersHEADERS, timeout8)html_content resp.text# 匹配专属VAPID公钥if vapid_pattern.search(html_content):result[is_sniperdz] Trueresult[detail] 页面包含SniperDz专属VAPID公钥判定为关联诈骗页面else:result[detail] 未匹配到SniperDz VAPID指纹except RequestException as e:result[access_status] f访问失败{str(e)}return resultdef batch_scan(url_list: list):print( VAPID指纹批量检测结果 )for url in url_list:res check_vapid_fingerprint(url)print(f目标链接{res[url]})print(f访问状态{res[access_status]})print(f检测结果{res[detail]}\n)if __name__ __main__:test_urls [https://win.feezossl.xyz,https://www.normal-page.com]batch_scan(test_urls)5.2.4 代码说明与能力边界该代码以固定 VAPID 公钥为核心特征不受域名、IP 变更影响是跨样本关联 SniperDz 攻击的有效手段。能力边界若攻击者对密钥进行分段、编码混淆会导致匹配失效同时无法对抗隐身页面被识别为爬虫时页面会返回正常内容造成漏检。建议搭配多维度访问模拟工具使用。5.3 浏览器异常脚本检测代码5.3.1 技术原理针对浏览器历史篡改、标签劫持、推送通知劫持三类恶意 JS 脚本通过正则匹配脚本特征关键词识别页面中的浏览器操控代码适用于终端安全插件、页面实时检测场景。5.3.2 运行环境与依赖Python 3.6 及以上依赖requests、re库。5.3.3 完整代码实现# 浏览器恶意脚本检测工具# 功能检测历史篡改、标签劫持、推送通知劫持类恶意JS代码import reimport requestsfrom requests.exceptions import RequestExceptionclass MaliciousScriptDetector:def __init__(self):# 匹配浏览器历史记录篡改脚本self.history_hijack re.compile(rhistory\.pushState|history\.replaceState, re.I)# 匹配标签劫持tab-under脚本self.tab_hijack re.compile(rwindow\.open|setTimeout.*location\.href, re.I)# 匹配浏览器推送通知脚本self.push_notify re.compile(rNotification\.requestPermission|webPush, re.I)self.headers {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def detect_script(self, url: str) - dict:res {url: url,access: 正常,risk_items: [],risk_level: 安全}try:resp requests.get(url, headersself.headers, timeout8)content resp.text# 逐项检测脚本特征if self.history_hijack.search(content):res[risk_items].append(浏览器历史篡改脚本)if self.tab_hijack.search(content):res[risk_items].append(标签劫持跳转脚本)if self.push_notify.search(content):res[risk_items].append(违规推送通知劫持脚本)# 判定风险等级if len(res[risk_items]) 2:res[risk_level] 高危elif len(res[risk_items]) 1:res[risk_level] 可疑except RequestException as e:res[access] f访问异常{str(e)}return resdef batch_detect(url_list: list):detector MaliciousScriptDetector()print( 浏览器恶意脚本检测结果 )for url in url_list:data detector.detect_script(url)print(f链接{data[url]})print(f访问状态{data[access]} | 风险等级{data[risk_level]})print(f恶意脚本类型{data[risk_items] if data[risk_items] else 无}\n)if __name__ __main__:test_urls [https://win.anababayala.com,https://www.legal-page.com]batch_detect(test_urls)5.3.4 代码说明与能力边界本代码聚焦前端恶意脚本特征专门针对 SniperDz 的浏览器操控行为设计。能力边界对于 JS 代码加密、混淆、拆分的样本正则匹配会失效仅能检测静态脚本内容无法分析脚本运行后的动态行为。建议作为终端基础检测模块搭配行为监控工具联合使用。5.4 代码综合部署方案三套代码分别对应链路层、指纹层、脚本层建议按照跳转链路检测前置拦截→脚本检测实时防护→VAPID 指纹检测深度溯源 的顺序组合部署。网关层部署跳转链路检测拦截含高危中转节点的链接终端部署脚本检测工具监控页面恶意行为威胁情报平台使用 VAPID 指纹检测完成攻击关联与溯源。反网络钓鱼技术专家芦笛指出多层代码联动可有效弥补单一检测手段的短板提升对 SniperDz 类复合攻击的识别率。6 全维度防御体系构建结合 SniperDz 的攻击特征、技术短板与检测方案本文从网络流量防御、终端浏览器管控、威胁情报运营、用户安全培训、跨境协同治理五个维度构建适配 PhaaS 复合型攻击的防御体系。6.1 网络流量层全链路流量监测与中转节点管控摒弃单一域名黑名单模式搭建全链路跳转监测系统部署前文的多层跳转检测代码对出站链接进行递归解析重点监控 Linktree、Linkbio、Blogger 等常用合法中转平台的外联流量。针对企业、机构网络限制终端向高危聚合站点频繁跳转的行为对多层跳转跳转层数≥3的链接统一弹窗告警。同时对 SniperDz 关联的 900 余个恶意域名、三组核心 IP 实施批量封禁持续跟踪基础设施动态更新的域名资产做到恶意节点及时处置。对出站 HTTPS 流量进行选择性解密深度解析中转页面后的真实内容对抗页面隐身技术。6.2 终端层浏览器权限管控与恶意脚本拦截浏览器是此类攻击的主要突破口需强化终端本地防护。第一严格管控浏览器推送通知权限默认关闭网站推送通知申请权限仅对办公、新闻等可信站点手动放行定期批量清理已授权的陌生站点。第二在终端安全软件集成恶意脚本检测代码拦截历史篡改、标签劫持、推送劫持类 JS 代码。第三部署终端行为监控当检测到浏览器历史记录被批量篡改、标签静默跳转时立即阻断页面并告警。针对办公终端通过组策略统一配置浏览器安全规则禁止自动弹出通知请求、禁止页面篡改浏览历史从权限层面限制浏览器被恶意操控。6.3 威胁情报层基于技术指纹的关联研判与规则迭代以 VAPID 公钥、恶意脚本特征、核心 IP 为核心指纹搭建本地威胁情报库。将检测代码输出的告警数据汇总自动关联同源攻击活动挖掘新增恶意域名与节点。安排专职人员跟踪 PhaaS 平台动态定期更新中转域名库、脚本特征库、IP 黑名单。同时对接行业共享威胁情报同步 SniperDz 家族最新资产实现跨单位、跨区域的情报联动避免单一机构情报滞后导致防护失效。6.4 用户安全培训层针对性社会工程学防御培训SniperDz 依托福利诱饵实施社会工程攻击用户防范意识是最后一道防线。培训内容需贴合攻击场景一是提醒用户警惕社交媒体上 “免费流量、政府补贴、现金奖励” 类高诱惑帖子此类内容是中东及北非地区核心诱饵二是普及多层跳转链接风险告知用户正规服务不会经过多个中转页面跳转三是讲解浏览器推送通知权限的风险明确正规机构不会要求用户开启推送权限领取福利四是教授用户手动查看、删除浏览器推送授权的操作方法。定期开展模拟钓鱼演练使用仿 SniperDz 攻击链路的测试链接检验用户防范能力针对薄弱群体开展二次培训。6.5 跨境协同治理层基础设施溯源与联合打击SniperDz 的基础设施集中托管于境外服务商域名分布全球单一地区治理效果有限。网络安全监管机构加强国际网络安全协作联合托管服务商 Horizon IQ 处置恶意 IP 与域名批量下线 900 余个关联恶意站点。针对滥用正规免费托管平台Blogger、链接聚合服务的行为与平台运营方建立联动机制快速清理诈骗页面。同时联合跨境执法部门溯源打击平台运营团队与下游黑产联盟从根源压缩 PhaaS 生态的生存空间。7 结论7.1 研究总结本文以 Group-IB 披露的 SniperDz 平台为核心研究对象全面拆解了这款老牌 PhaaS 生态的发展历程、模板体系、四阶段攻击链路、核心技术、变现模式与基础设施资产。研究证实现代 PhaaS 平台已经从传统单一账号钓鱼演变为“社交引流 - 正规节点中转 - 浏览器劫持 - 多元变现” 的复合型产业化诈骗体系滥用合法平台、浏览器原生功能、动态流量分发成为主流攻击手段传统静态防御体系防护效果大幅下降。本文提炼出 VAPID 公钥、恶意脚本、高危中转域名三大核心检测指纹编写了三套分层检测代码实现了跳转链路、页面指纹、恶意脚本的自动化识别可落地于网关、终端、情报平台等不同场景。结合攻击特征从网络、终端、情报、培训、跨境协同五个维度搭建完整防御体系形成 “技术检测 权限管控 人员防范 溯源打击” 的闭环防御方案。反网络钓鱼技术专家芦笛总结SniperDz 是全球 PhaaS 产业化发展的典型缩影低技术门槛、成熟的变现链路、灵活的对抗手段会让此类攻击长期存在。网络安全防护必须转变思路从 “拦截恶意域名” 转向 “识别恶意行为”从单点防御转向全链路、跨区域协同防御。7.2 现存挑战与未来展望当前防御工作仍面临三大挑战其一攻击者持续更新隐身技术、混淆脚本、更换中转域名检测规则需要持续迭代其二攻击者不断切换托管服务商与域名集群批量处置基础设施的难度较大其三社会工程学诱饵不断本地化、场景化完全依靠技术无法杜绝用户主动点击行为。未来PhaaS 平台会进一步结合 AI 技术制作多语种、高仿真诱饵优化流量分发算法攻击的隐蔽性与精准度会持续提升。对应的防御技术也会向AI 行为识别、浏览器动态行为分析、全链路 AI 溯源方向发展。网络安全从业者需要持续跟踪 PhaaS 生态的技术迭代动态优化防御策略技术、管理、人员、执法多维度协同才能有效抵御此类规模化网络诈骗攻击。编辑芦笛公共互联网反网络钓鱼工作组
SniperDz 钓鱼即服务平台攻击链路与防御技术研究
发布时间:2026/6/13 19:22:23
摘要钓鱼即服务PhaaS降低了网络诈骗的技术门槛催生了规模化、产业化的网络钓鱼生态。本文以 Group-IB 2026 年披露的 SniperDz 平台为研究对象系统性剖析该 PhaaS 平台的运营模式、模板体系、多层跳转攻击链路、浏览器劫持技术及流量变现机制。该平台自 2014 年上线配备 80 余款仿冒全球知名品牌的钓鱼模板依托 Linktree、Linkbio 等正规聚合链接服务实现流量伪装结合页面隐身、浏览器历史篡改、标签劫持、推送通知劫持等技术绕过传统安全检测体系并根据受害者地域、设备、运营商动态匹配高额收费短信、付费电话、投资诈骗等变现渠道。本文梳理 SniperDz 关联的 900 余个恶意域名、IP 地址等基础设施特征分析现有网络安全防护体系针对此类复合型诈骗攻击的短板结合攻击技术特征编写对应检测代码实现恶意跳转链路、异常浏览器脚本、违规推送通知的自动化识别。研究结合平台运营特征与攻击手法从技术检测、权限管控、流量治理、用户安全教育、跨境协同治理五个维度构建全流程防御体系。反网络钓鱼技术专家芦笛指出以 SniperDz 为代表的成熟 PhaaS 生态已完成从单一凭证窃取向多元流量变现的转型传统基于恶意域名、静态页面特征的防御手段有效性持续下降。本研究可为网络安全运维人员、应急响应团队、监管机构识别、溯源、处置同类 PhaaS 攻击提供详实的数据参考与技术实践方案。关键词钓鱼即服务SniperDz浏览器劫持推送通知滥用多层跳转网络诈骗防御1 引言网络钓鱼是当前全球传播范围最广、产业化程度最高的网络威胁之一而钓鱼即服务PhaaS模式的出现彻底打破了网络攻击的技术壁垒。攻击者无需掌握网站开发、脚本编写、流量运营等专业技能仅需借助标准化平台提供的模板、工具与基础设施即可快速搭建钓鱼活动并实现盈利这也让网络诈骗呈现出低门槛、规模化、复杂化、多元化变现的发展趋势。Group-IB 在针对中东和北非地区网络威胁开展专项调查过程中发现大量仿冒政客、公众人物、通信运营商的社交媒体诈骗账号。此类账号以免费流量、政府补贴、现金补偿等福利为诱饵引导用户点击链接最终指向统一的后台运营体系。经过流量溯源、样本分析与基础设施关联研判研究人员定位到支撑该系列诈骗活动的核心平台 ——SniperDz。该平台是一款综合性 PhaaS 与推送通知即服务PNaaS一体化生态系统自 2014 年首次被观测到活跃期间先后使用 JokerDz、StormDz、SpamDz 等多个别名长期活跃于全球网络黑产领域。与传统单一窃取账号密码的钓鱼平台不同SniperDz 构建了完整的 “引流 - 伪装 - 劫持 - 变现” 闭环生态。平台内置多语种钓鱼模板覆盖金融、社交、流媒体、游戏等多个高价值行业在传播环节滥用主流链接聚合平台实现多层跳转规避社交媒体与防火墙的基础检测在交互环节运用页面隐身技术、浏览器历史篡改、标签劫持、推送通知劫持等多种浏览器操控手段强制滞留用户流量在变现环节基于用户画像动态分发不同诈骗模式包括高额收费短信订阅、付费电话、虚假投资、客户信息倒卖等。截至目前该平台关联的可疑域名数量已超过 900 个依托统一托管服务商搭建分布式基础设施攻击辐射范围覆盖全球多个国家和地区。当前国内及全球多数安全防护方案主要针对传统直连式钓鱼链接、静态恶意页面开展检测对于多层跳转、依托正规平台中转、滥用浏览器原生功能的复合型诈骗攻击识别能力不足。同时网络安全研究领域针对 SniperDz 这类老牌综合性 PhaaS 平台的全链路拆解、技术特征提取、自动化检测方案的落地研究相对有限。基于这一现实背景本文以 Group-IB 公开的一手监测数据与样本信息为基础逐层拆解 SniperDz 平台的架构、攻击流程、核心技术、变现模式与基础设施特征编写适配实战场景的检测代码客观分析防御难点并搭建分层防御体系。全文研究范围聚焦 SniperDz 生态的攻击技术与对抗策略不拓展至其他无关 PhaaS 平台保证论据闭环、主题聚焦为应对同类产业化钓鱼攻击提供实践支撑。2 SniperDz 平台整体概况与基础特征2.1 平台发展历程与基础属性SniperDz 是一款运营周期长达十余年的老牌黑产服务平台首次活跃记录可追溯至 2014 年 11 月在长期运营过程中不断迭代功能、拓展业务场景、更换对外名称以规避溯源打击先后使用 JokerDz、StormDz、SpamDz 等多个别名。该平台核心定位为附属联盟式 PhaaSPNaaS 综合服务生态面向全球低技术门槛黑产从业者提供一站式诈骗解决方案使用者无需具备网页开发、脚本编写、网络运维等专业能力依托平台现成工具即可批量开展诈骗活动。从技术能力与工具集来看SniperDz 团队掌握完整的前端脚本开发能力擅长制作钓鱼页面、编写点击劫持、浏览器历史篡改、标签劫持等恶意 JavaScript 脚本同时精通流量伪装、反爬虫、域名伪装、免费托管平台利用等规避检测技术还深度布局手机计费、高额短信订阅等电信诈骗业务形成了技术、流量、变现三位一体的黑产体系。平台目标覆盖全球范围重点深耕中东和北非区域结合当地语言、民俗、消费习惯定制诈骗内容本地化运营特征十分显著。从盈利动机分析该平台所有功能设计均围绕非法获利展开早期业务以窃取社交账号、金融平台凭证为主随着技术迭代与生态扩张逐步拓展出浏览器推送通知劫持、付费电话扣费、高额短信订阅、虚假投资、用户信息倒卖、联盟营销诈骗等多元盈利渠道单一攻击链路可同时实现多种变现方式大幅提升流量收益。2.2 钓鱼模板体系与语种适配模板库是 SniperDz 吸引下游黑产从业者的核心优势平台内置80 套独立钓鱼模板可仿冒全球超过 30 个知名主流品牌覆盖金融服务、社交媒体、流媒体、游戏商城、电子邮箱、通信运营商、政府机构等多个高价值行业。其中典型仿冒对象包括支付平台 PayPal、社交平台 Facebook 与 Instagram、流媒体平台 Netflix、游戏平台 Steam、邮箱服务 Yahoo 等基本囊括全球用户基数大、资产价值高的互联网服务。为适配全球化运营需求平台模板支持多语种切换主流语种包含阿拉伯语、英语、法语历史版本还曾上线西班牙语、希伯来语模板精准匹配不同区域用户的语言习惯。针对中东和北非核心运营区域平台专门强化阿拉伯语模板的本地化设计结合当地通信运营商品牌、福利活动风格制作诈骗页面大幅提升欺骗性。除此之外平台研发专属工具实现钓鱼页面转 Google Blogger 页面功能。该工具可将定制化钓鱼页面快速转换为谷歌博客站点格式借助 Google Blogger 免费托管服务搭建诈骗页面。此举具备双重优势一是零托管成本降低黑产运营开支二是借用谷歌域名的高信誉度绕过基于域名年龄、域名信誉的安全过滤规则进一步提升钓鱼链接的存活时间与传播能力。反网络钓鱼技术专家芦笛强调滥用正规免费托管平台、借用合法域名信誉是当前 PhaaS 平台规避防御的主流手段也让传统域名黑名单体系的防护效果持续弱化。2.3 目标行业与攻击传播渠道结合监测数据统计SniperDz 的攻击目标行业呈现明显的价值导向特征优先级从高到低依次为金融服务、社交媒体、网络游戏、通信运营商、电子邮箱、政府机构。金融与社交平台存储用户资金、账号、隐私信息直接对应账号盗取、财产诈骗通信运营商是中东地区诈骗的核心载体依托本地免费流量、话费补贴等诱饵结合电信扣费渠道实现快速变现政府机构相关模板则主要用于窃取涉密信息、开展舆论诱导。在传播渠道方面该平台以社交媒体为核心引流入口主要依托 Facebook、Instagram 等平台发布诈骗内容。攻击者注册大量仿冒政客、公众人物、地方通信运营商的社交媒体账号发布带有福利诱惑的帖子引导用户点击链接。为规避社交媒体平台的安全检测攻击者极少使用直连恶意域名的方式而是采用多层跳转架构这也成为 SniperDz 攻击链路的核心特征。3 SniperDz 完整攻击链路分层解析SniperDz 构建了一套标准化、流程化的多层级诈骗漏斗从最初的社交引流到最终的流量变现整体划分为社交诱饵层、链接伪装中转层、浏览器劫持陷阱层、多元变现层四个核心阶段每个阶段搭配专属技术手段规避检测、滞留用户、实现盈利各环节衔接紧密形成完整闭环。3.1 第一阶段社交诱饵搭建与初始引流该阶段是攻击的起点核心目标是利用社会工程学手段获取用户信任引导用户主动触发链接跳转。攻击者主要依托 Facebook、Instagram 等主流社交媒体开展活动核心操作分为账号伪装、内容制作、诱饵投放三部分。在账号伪装环节攻击者批量注册社交媒体账号头像、昵称、简介全面仿冒当地知名政客、公众人物、区域通信运营商官方账号部分账号还会伪造平台认证标识进一步提升可信度。在内容制作环节结合目标区域用户需求设计诱饵中东和北非地区以免费移动流量、大额话费补贴、政府现金补偿、限时福利礼包为主文案使用本地阿拉伯语编写排版、风格完全模仿正规运营商宣传内容贴合当地用户认知。在诱饵投放环节诈骗帖子公开发布在社交账号主页、社群、推荐信息流中文案附带行动指令诱导用户 “点击链接领取福利”“输入手机号完成登记”。从表面来看此类帖子与正常商业推广内容无明显差异普通用户难以分辨真伪。该阶段不直接放置恶意链接为后续多层中转埋下伏笔。3.2 第二阶段正规平台中转与流量伪装为绕过社交媒体平台的恶意链接检测机制SniperDz 全面放弃直连恶意域名的模式采用可信链接聚合平台作为中转节点这也是整个攻击链路中最关键的伪装环节。攻击者主要滥用 Linktree、Linkbio 等全球知名链接聚合服务这类平台拥有极高的域名信誉主流安全设备、社交媒体平台通常不会对其进行拦截。具体流程为社交媒体帖子中放置指向 Linktree、Linkbio 旗下域名例如 fanlnk.to的链接用户点击后首先跳转至链接聚合平台的伪装落地页。该落地页沿用此前的福利宣传主题页面内设置多个功能按钮表面上区分不同福利类型但后台代码显示页面内所有按钮均指向同一个攻击者控制的追踪域名。无论用户点击任意按钮流量都会统一被导向 SniperDz 的核心恶意基础设施。多层中转架构具备极强的对抗能力第一层社交媒体平台链接指向高信誉聚合域名规避初始拦截第二层聚合平台页面作为过渡模糊流量去向第三层才真正接入恶意站点。多层跳转拉长了流量路径增加了安全设备全链路检测的难度同时正规平台的域名信誉能够掩护后端恶意流量。同时该阶段站点还集成隐身Cloaking技术具备访问者识别能力当检测到安全研究员、网络爬虫、自动化扫描工具访问时页面会自动切换为正常错误页面隐藏恶意内容仅对普通真实用户展示诈骗页面从源头规避样本抓取与特征分析。3.3 第三阶段浏览器劫持与用户滞留陷阱流量进入攻击者核心基础设施后便进入陷阱阶段。该阶段综合运用推送通知劫持、浏览器历史篡改、标签劫持三大浏览器操控技术核心目标是长期控制用户浏览器、阻止用户退出诈骗链路、维持流量价值也是 SniperDz 技术复杂度最高的环节。3.3.1 浏览器推送通知劫持这是该平台实现长期持续引流的核心技术。用户跳转至恶意页面后页面展示加载动画与引导文字提示用户 “点击允许以继续领取福利”“点击允许完成身份验证”将浏览器推送通知请求伪装成福利领取的必要步骤。普通用户在福利诱惑下往往会直接点击 “允许” 按钮。页面后台脚本调用统一的 VAPID 公钥完成推送订阅注册该公钥在 SniperDz 所有诈骗样本中重复出现成为识别该生态的重要基础设施指纹。一旦用户授权脚本会收集推送订阅令牌、用户语言、设备信息、追踪标识等数据并回传至攻击者服务器。此后即便用户关闭当前页面攻击者仍可通过浏览器推送功能持续向用户推送诈骗广告、钓鱼链接、各类欺诈内容实现长期流量复用。3.3.2 浏览器历史篡改返回按钮陷阱为防止用户发现异常后退出页面平台部署浏览器历史篡改代码。脚本会自动向用户的浏览器历史记录中批量插入 10 条以上虚假访问记录。当用户点击浏览器 “返回” 按钮试图退出时并不会回到上一级正规页面而是在虚假历史记录中循环跳转陷入 “返回按钮监狱”始终停留在攻击者控制的站点范围内无法脱离诈骗生态。该技术针对普通用户的操作习惯设计大幅提升用户滞留时长。3.3.3 标签劫持Tab-under该技术主要用于多标签浏览场景。当用户点击页面内链接新建浏览器标签时脚本会触发延迟跳转逻辑新标签打开目标页面的同时原本的标签页会在后台静默跳转至其他恶意站点。这种方式能够在用户无感知的情况下进一步扩大恶意流量规模最大化流量变现收益。三大技术组合使用构建了立体化的用户滞留体系短期限制用户退出页面长期通过推送通知持续控制终端让单次引流行为产生多次变现价值。3.4 第四阶段用户画像匹配与多元流量变现完成浏览器权限劫持后平台进入最终的变现环节。SniperDz 搭建了中心化流量分发引擎具备用户画像识别与动态路由能力服务器自动采集用户终端类型、所在地理位置、手机运营商等信息根据不同画像将流量导向对应变现渠道实现收益最大化。平台主要包含四类变现模式覆盖即时扣费与长期信息窃取两大方向。第一类是高额付费电话诈骗。系统识别用户手机运营商后页面引导用户拨打指定号码 “兑换奖品”“验证资格”该号码属于国际高额收费服务热线通话费用会直接通过手机运营商结算攻击者按照通话时长获取分成收益。第二类是高额短信订阅诈骗。页面伪装成趣味答题、资格调查问卷用户完成交互后后台会在无明确告知的情况下为用户开通自动续费的高额短信订阅服务持续扣除手机话费且订阅服务隐蔽性较强普通用户难以发现与取消。第三类是虚假投资诈骗。针对特定区域、特定设备的用户流量会被导向仿冒财经媒体、虚拟货币交易、股票交易的虚假投资平台。页面诱导用户填写姓名、手机号、邮箱等个人信息收集的敏感数据一方面用于后续精准诈骗另一方面可批量出售给黑产下游实现数据变现。第四类是联盟营销诈骗与二次引流。部分流量会被导向各类灰色联盟广告、第三方诈骗站点攻击者依靠流量分成获取收益。同时结合此前劫持的浏览器推送权限持续推送各类诈骗内容形成循环引流。整体来看SniperDz 并非单一钓鱼站点而是以流量为核心的综合型黑产交易平台所有技术设计、链路搭建最终均服务于流量变现产业化特征极为突出。3.5 平台基础设施与关联资产经过 Group-IB 溯源分析SniperDz 生态拥有规模化的基础设施集群核心托管服务商为 Horizon IQ关联三台核心 IP 节点65.60.9.236、108.178.23.118、184.154.10.254。这三组 IP 关联了超过 900 个可疑域名其中典型代表性域名包括 win.feezossl.xyz、win.anababayala.com、aff.bnaosf1he.shop、offer.raviral.com等。这些域名分工明确分别承担流量跳转、页面托管、数据接收、推送服务等不同功能域名体系庞大且更新频繁。同时平台复用同一组 VAPID 公钥作为推送服务的统一标识该指纹不受域名、IP 变更影响是跨样本、跨活动关联 SniperDz 攻击的核心特征。基础设施的集中托管、大规模域名集群、固定技术指纹也为安全团队开展溯源、批量处置提供了关键依据。4 SniperDz 攻击核心技术特征与检测难点4.1 核心技术特征汇总结合全链路分析将 SniperDz 生态的核心技术特征归纳为五大类这也是区分其与传统钓鱼攻击的关键多层跳转 正规平台中转依赖 Linktree、Linkbio、Google Blogger 等高信誉合法平台作为中间节点恶意流量嵌套在正规流量之中链路层级多、节点可信度高。隐身对抗技术区分普通用户与扫描爬虫、安全研究员对自动化检测工具展示无害页面规避样本捕获与特征提取。浏览器深度操控集成历史记录篡改、标签劫持、推送通知劫持三类脚本利用浏览器原生功能实现用户控制与流量滞留不属于传统恶意软件范畴。统一技术指纹全平台复用固定 VAPID 公钥该指纹独立于域名、IP可作为跨场景识别攻击的核心标识。动态流量分发基于地域、设备、运营商构建用户画像智能匹配不同变现模式攻击策略具备动态化特征。4.2 现有防御体系的检测难点传统网络安全防护体系针对此类攻击存在多重短板也是该平台能够长期活跃的主要原因域名黑名单失效攻击大量使用正规平台域名、免费托管域名此类域名无法被全域封禁同时平台拥有 900 余个动态更新的恶意域名黑名单难以实时全覆盖。静态页面特征匹配失效隐身技术导致扫描工具无法获取真实恶意页面内容基于页面关键词、脚本特征的静态检测规则无法生效。忽视浏览器行为风险传统防护聚焦病毒、木马、恶意文件对浏览器脚本篡改历史、劫持标签、滥用推送通知等无文件攻击识别能力不足。流量链路检测缺失现有设备大多仅检测终端直连链接缺乏对多层跳转全链路的回溯与分析能力无法定位链路末端的恶意节点。跨场景关联能力不足单一域名、IP 的告警相互独立无法依托 VAPID 公钥这类技术指纹将分散的攻击活动关联至同一生态。反网络钓鱼技术专家芦笛强调SniperDz 这类新型 PhaaS 攻击的核心威胁已经从 “恶意文件” 转向 “恶意行为”网络安全防护的重心必须从静态特征拦截转向动态行为分析、全链路流量追溯与终端行为管控。5 针对性检测代码设计与实现结合前文梳理的技术特征与检测难点本文基于 Python 语言编写三套检测代码分别实现多层跳转链路检测、VAPID 公钥指纹识别、浏览器异常脚本检测覆盖网络链路层、页面特征层、终端脚本层代码贴合实战场景附带原理说明、使用场景与能力边界可直接部署于安全网关、威胁研判平台、终端检测工具中。5.1 多层跳转链路检测代码5.1.1 技术原理SniperDz 攻击存在明显的多层跳转特征且常以 Linktree、Linkbio 作为中转节点。本代码递归追踪 URL 跳转链路统计跳转层数识别高风险中转域名记录最终落地页地址实现全链路可视化检测适用于安全运维人员对可疑链接进行溯源研判。5.1.2 运行环境与依赖运行环境Python 3.7 及以上依赖库requests、urllib.parse。安装命令pip install requests。5.1.3 完整代码实现# 多层URL跳转链路检测工具# 功能递归追踪跳转链接识别Linktree/Linkbio高危中转节点统计跳转层数import requestsfrom urllib.parse import urlparsefrom requests.exceptions import RequestException# 配置参数# SniperDz常用高危中转域名HIGH_RISK_RELAY {linktr.ee, linkbio.co, fanlnk.to}# 最大跳转层数防止死循环MAX_REDIRECT_DEPTH 10# 请求头模拟正常浏览器HEADERS {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def trace_redirect_chain(start_url: str) - dict:追踪URL跳转链路返回链路详情、层数、风险标记chain []current_url start_urldepth 0risk_flag 正常while depth MAX_REDIRECT_DEPTH:parse_res urlparse(current_url)domain parse_res.netloc# 记录当前节点chain.append({depth: depth 1,url: current_url,domain: domain})# 检测是否为高危中转域名if domain in HIGH_RISK_RELAY:risk_flag 高危存在PhaaS中转节点try:# 关闭自动跳转手动捕获3xx跳转状态码resp requests.get(current_url, headersHEADERS, allow_redirectsFalse, timeout8)# 3xx状态码代表跳转if 300 resp.status_code 310:next_url resp.headers.get(Location)if not next_url:breakcurrent_url next_urldepth 1else:# 无跳转链路结束breakexcept RequestException:chain.append({depth: depth 1, url: current_url, domain: domain, note: 访问失败})breakreturn {start_url: start_url,redirect_count: len(chain) - 1,full_chain: chain,risk_level: risk_flag,final_url: chain[-1][url] if chain else }def batch_check(url_list: list):批量检测URL跳转链路print( 多层跳转链路检测结果 )for url in url_list:result trace_redirect_chain(url)print(f初始链接{result[start_url]})print(f跳转层数{result[redirect_count]} | 风险等级{result[risk_level]})print(完整链路)for node in result[full_chain]:print(f 第{node[depth]}层{node[url]})print(- * 80)if __name__ __main__:# 测试用例包含正常链接、含Linkbio中转的恶意链接test_urls [https://www.official-telecom.com/promotion,https://fanlnk.to/relay123,https://linktr.ee/telecom-offer]batch_check(test_urls)5.1.4 代码说明与能力边界本代码手动捕获 HTTP 3xx 跳转状态码递归解析全链路节点精准识别 SniperDz 常用的链接聚合平台。适用于威胁情报研判、邮件网关可疑链接筛查。能力边界无法识别页面内 JS 实现的前端跳转仅能检测 HTTP 协议层面的服务端跳转需持续更新HIGH_RISK_RELAY域名列表适配新的中转节点。5.2 VAPID 公钥指纹检测代码5.2.1 技术原理固定 VAPID 公钥是 SniperDz 生态的核心指纹。本代码请求页面 HTML 内容正则匹配页面中出现的 VAPID 公钥字符串以此判断页面是否归属该诈骗生态适用于恶意页面样本研判、内网站点巡检。5.2.2 运行环境与依赖Python 3.6 及以上依赖requests、re库。安装命令pip install requests。5.2.3 完整代码实现# VAPID公钥指纹检测工具# 功能检测页面中是否存在SniperDz专属VAPID公钥识别关联攻击页面import reimport requestsfrom requests.exceptions import RequestException# SniperDz全样本复用的VAPID公钥SNIPERDZ_VAPID_KEY BHR8bZ93X3YNBNQcN_dGRYtnWqdsJXR2bXqq3vhfBL1TpfZqrGKXYxATKGNHa25HyaghKK8ZiaFXbIgJqY2624A# 正则匹配VAPID密钥片段vapid_pattern re.compile(re.escape(SNIPERDZ_VAPID_KEY))HEADERS {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def check_vapid_fingerprint(url: str) - dict:检测页面VAPID指纹result {url: url,access_status: 正常,is_sniperdz: False,detail: }if not url.startswith((http://, https://)):result[access_status] 协议非法return resulttry:resp requests.get(url, headersHEADERS, timeout8)html_content resp.text# 匹配专属VAPID公钥if vapid_pattern.search(html_content):result[is_sniperdz] Trueresult[detail] 页面包含SniperDz专属VAPID公钥判定为关联诈骗页面else:result[detail] 未匹配到SniperDz VAPID指纹except RequestException as e:result[access_status] f访问失败{str(e)}return resultdef batch_scan(url_list: list):print( VAPID指纹批量检测结果 )for url in url_list:res check_vapid_fingerprint(url)print(f目标链接{res[url]})print(f访问状态{res[access_status]})print(f检测结果{res[detail]}\n)if __name__ __main__:test_urls [https://win.feezossl.xyz,https://www.normal-page.com]batch_scan(test_urls)5.2.4 代码说明与能力边界该代码以固定 VAPID 公钥为核心特征不受域名、IP 变更影响是跨样本关联 SniperDz 攻击的有效手段。能力边界若攻击者对密钥进行分段、编码混淆会导致匹配失效同时无法对抗隐身页面被识别为爬虫时页面会返回正常内容造成漏检。建议搭配多维度访问模拟工具使用。5.3 浏览器异常脚本检测代码5.3.1 技术原理针对浏览器历史篡改、标签劫持、推送通知劫持三类恶意 JS 脚本通过正则匹配脚本特征关键词识别页面中的浏览器操控代码适用于终端安全插件、页面实时检测场景。5.3.2 运行环境与依赖Python 3.6 及以上依赖requests、re库。5.3.3 完整代码实现# 浏览器恶意脚本检测工具# 功能检测历史篡改、标签劫持、推送通知劫持类恶意JS代码import reimport requestsfrom requests.exceptions import RequestExceptionclass MaliciousScriptDetector:def __init__(self):# 匹配浏览器历史记录篡改脚本self.history_hijack re.compile(rhistory\.pushState|history\.replaceState, re.I)# 匹配标签劫持tab-under脚本self.tab_hijack re.compile(rwindow\.open|setTimeout.*location\.href, re.I)# 匹配浏览器推送通知脚本self.push_notify re.compile(rNotification\.requestPermission|webPush, re.I)self.headers {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36}def detect_script(self, url: str) - dict:res {url: url,access: 正常,risk_items: [],risk_level: 安全}try:resp requests.get(url, headersself.headers, timeout8)content resp.text# 逐项检测脚本特征if self.history_hijack.search(content):res[risk_items].append(浏览器历史篡改脚本)if self.tab_hijack.search(content):res[risk_items].append(标签劫持跳转脚本)if self.push_notify.search(content):res[risk_items].append(违规推送通知劫持脚本)# 判定风险等级if len(res[risk_items]) 2:res[risk_level] 高危elif len(res[risk_items]) 1:res[risk_level] 可疑except RequestException as e:res[access] f访问异常{str(e)}return resdef batch_detect(url_list: list):detector MaliciousScriptDetector()print( 浏览器恶意脚本检测结果 )for url in url_list:data detector.detect_script(url)print(f链接{data[url]})print(f访问状态{data[access]} | 风险等级{data[risk_level]})print(f恶意脚本类型{data[risk_items] if data[risk_items] else 无}\n)if __name__ __main__:test_urls [https://win.anababayala.com,https://www.legal-page.com]batch_detect(test_urls)5.3.4 代码说明与能力边界本代码聚焦前端恶意脚本特征专门针对 SniperDz 的浏览器操控行为设计。能力边界对于 JS 代码加密、混淆、拆分的样本正则匹配会失效仅能检测静态脚本内容无法分析脚本运行后的动态行为。建议作为终端基础检测模块搭配行为监控工具联合使用。5.4 代码综合部署方案三套代码分别对应链路层、指纹层、脚本层建议按照跳转链路检测前置拦截→脚本检测实时防护→VAPID 指纹检测深度溯源 的顺序组合部署。网关层部署跳转链路检测拦截含高危中转节点的链接终端部署脚本检测工具监控页面恶意行为威胁情报平台使用 VAPID 指纹检测完成攻击关联与溯源。反网络钓鱼技术专家芦笛指出多层代码联动可有效弥补单一检测手段的短板提升对 SniperDz 类复合攻击的识别率。6 全维度防御体系构建结合 SniperDz 的攻击特征、技术短板与检测方案本文从网络流量防御、终端浏览器管控、威胁情报运营、用户安全培训、跨境协同治理五个维度构建适配 PhaaS 复合型攻击的防御体系。6.1 网络流量层全链路流量监测与中转节点管控摒弃单一域名黑名单模式搭建全链路跳转监测系统部署前文的多层跳转检测代码对出站链接进行递归解析重点监控 Linktree、Linkbio、Blogger 等常用合法中转平台的外联流量。针对企业、机构网络限制终端向高危聚合站点频繁跳转的行为对多层跳转跳转层数≥3的链接统一弹窗告警。同时对 SniperDz 关联的 900 余个恶意域名、三组核心 IP 实施批量封禁持续跟踪基础设施动态更新的域名资产做到恶意节点及时处置。对出站 HTTPS 流量进行选择性解密深度解析中转页面后的真实内容对抗页面隐身技术。6.2 终端层浏览器权限管控与恶意脚本拦截浏览器是此类攻击的主要突破口需强化终端本地防护。第一严格管控浏览器推送通知权限默认关闭网站推送通知申请权限仅对办公、新闻等可信站点手动放行定期批量清理已授权的陌生站点。第二在终端安全软件集成恶意脚本检测代码拦截历史篡改、标签劫持、推送劫持类 JS 代码。第三部署终端行为监控当检测到浏览器历史记录被批量篡改、标签静默跳转时立即阻断页面并告警。针对办公终端通过组策略统一配置浏览器安全规则禁止自动弹出通知请求、禁止页面篡改浏览历史从权限层面限制浏览器被恶意操控。6.3 威胁情报层基于技术指纹的关联研判与规则迭代以 VAPID 公钥、恶意脚本特征、核心 IP 为核心指纹搭建本地威胁情报库。将检测代码输出的告警数据汇总自动关联同源攻击活动挖掘新增恶意域名与节点。安排专职人员跟踪 PhaaS 平台动态定期更新中转域名库、脚本特征库、IP 黑名单。同时对接行业共享威胁情报同步 SniperDz 家族最新资产实现跨单位、跨区域的情报联动避免单一机构情报滞后导致防护失效。6.4 用户安全培训层针对性社会工程学防御培训SniperDz 依托福利诱饵实施社会工程攻击用户防范意识是最后一道防线。培训内容需贴合攻击场景一是提醒用户警惕社交媒体上 “免费流量、政府补贴、现金奖励” 类高诱惑帖子此类内容是中东及北非地区核心诱饵二是普及多层跳转链接风险告知用户正规服务不会经过多个中转页面跳转三是讲解浏览器推送通知权限的风险明确正规机构不会要求用户开启推送权限领取福利四是教授用户手动查看、删除浏览器推送授权的操作方法。定期开展模拟钓鱼演练使用仿 SniperDz 攻击链路的测试链接检验用户防范能力针对薄弱群体开展二次培训。6.5 跨境协同治理层基础设施溯源与联合打击SniperDz 的基础设施集中托管于境外服务商域名分布全球单一地区治理效果有限。网络安全监管机构加强国际网络安全协作联合托管服务商 Horizon IQ 处置恶意 IP 与域名批量下线 900 余个关联恶意站点。针对滥用正规免费托管平台Blogger、链接聚合服务的行为与平台运营方建立联动机制快速清理诈骗页面。同时联合跨境执法部门溯源打击平台运营团队与下游黑产联盟从根源压缩 PhaaS 生态的生存空间。7 结论7.1 研究总结本文以 Group-IB 披露的 SniperDz 平台为核心研究对象全面拆解了这款老牌 PhaaS 生态的发展历程、模板体系、四阶段攻击链路、核心技术、变现模式与基础设施资产。研究证实现代 PhaaS 平台已经从传统单一账号钓鱼演变为“社交引流 - 正规节点中转 - 浏览器劫持 - 多元变现” 的复合型产业化诈骗体系滥用合法平台、浏览器原生功能、动态流量分发成为主流攻击手段传统静态防御体系防护效果大幅下降。本文提炼出 VAPID 公钥、恶意脚本、高危中转域名三大核心检测指纹编写了三套分层检测代码实现了跳转链路、页面指纹、恶意脚本的自动化识别可落地于网关、终端、情报平台等不同场景。结合攻击特征从网络、终端、情报、培训、跨境协同五个维度搭建完整防御体系形成 “技术检测 权限管控 人员防范 溯源打击” 的闭环防御方案。反网络钓鱼技术专家芦笛总结SniperDz 是全球 PhaaS 产业化发展的典型缩影低技术门槛、成熟的变现链路、灵活的对抗手段会让此类攻击长期存在。网络安全防护必须转变思路从 “拦截恶意域名” 转向 “识别恶意行为”从单点防御转向全链路、跨区域协同防御。7.2 现存挑战与未来展望当前防御工作仍面临三大挑战其一攻击者持续更新隐身技术、混淆脚本、更换中转域名检测规则需要持续迭代其二攻击者不断切换托管服务商与域名集群批量处置基础设施的难度较大其三社会工程学诱饵不断本地化、场景化完全依靠技术无法杜绝用户主动点击行为。未来PhaaS 平台会进一步结合 AI 技术制作多语种、高仿真诱饵优化流量分发算法攻击的隐蔽性与精准度会持续提升。对应的防御技术也会向AI 行为识别、浏览器动态行为分析、全链路 AI 溯源方向发展。网络安全从业者需要持续跟踪 PhaaS 生态的技术迭代动态优化防御策略技术、管理、人员、执法多维度协同才能有效抵御此类规模化网络诈骗攻击。编辑芦笛公共互联网反网络钓鱼工作组
相关文章
AI 与无代码平台滥用下企业凭证钓鱼攻击技术与防御研究
摘要:生成式人工智能、无代码开发平台的普及大幅降低网络钓鱼攻击的技术门槛,攻击者开始滥用主流 AI 辅助建站、无代码托管服务搭建钓鱼站点,依托平台可信域名与云基础设施绕过传统安全检测体系,定向窃取企业员工账号凭证。本文以…
Blender建筑生成工具:参数化建模的革命性突破
Blender建筑生成工具:参数化建模的革命性突破 【免费下载链接】building_tools Building generation addon for blender 项目地址: https://gitcode.com/gh_mirrors/bu/building_tools 在3D建模领域,建筑生成一直是最具挑战性的任务之一。Buildin…
大江AI改变生活(Ai写作+AI绘画+Ai视频)
该课程系统讲解AI在写作、绘画、视频三大领域的应用,包含原创/二创文章、AI写真、古人跳舞视频等10个实操模块,重点培养AI内容创作能力与副业变现思维,帮助学员掌握AI工具提升生活品质并实现创收。 课程目录: 1-第一节课ÿ…
跨平台macOS组件下载引擎:gibMacOS技术深度解析与实战应用
跨平台macOS组件下载引擎:gibMacOS技术深度解析与实战应用 【免费下载链接】gibMacOS Py2/py3 script that can download macOS components direct from Apple 项目地址: https://gitcode.com/gh_mirrors/gi/gibMacOS 在多元化的技术生态中,macOS…
Artisan烘焙软件:3分钟上手!开源咖啡烘焙神器如何让烘焙变得简单又专业?
Artisan烘焙软件:3分钟上手!开源咖啡烘焙神器如何让烘焙变得简单又专业? 【免费下载链接】artisan artisan: the worlds most trusted roasting software 项目地址: https://gitcode.com/gh_mirrors/ar/artisan 你是否想过,…
Obsidian Copilot:个人知识库的智能代理架构解析
Obsidian Copilot:个人知识库的智能代理架构解析 【免费下载链接】obsidian-copilot THE Copilot in Obsidian 项目地址: https://gitcode.com/gh_mirrors/ob/obsidian-copilot 在信息过载的数字时代,个人知识管理面临着前所未有的挑战。传统笔记…
告别手册恐惧:手把手教你用FPGA配置AD9739 DAC(附SPI时序与数据对齐避坑点)
告别手册恐惧:手把手教你用FPGA配置AD9739 DAC(附SPI时序与数据对齐避坑点)第一次拿到AD9739评估板时,面对这本300多页的全英文数据手册,我的第一反应是"这得看到猴年马月"。作为一款支持2.5GSPS采样率的高性…
BLIP-image-captioning-large在NPU上的极致优化:性能提升300%的秘密
BLIP-image-captioning-large在NPU上的极致优化:性能提升300%的秘密 【免费下载链接】blip-image-captioning-large 项目地址: https://ai.gitcode.com/hf_mirrors/PyTorch-NPU/blip-image-captioning-large 你是否曾经为AI图像描述模型的速度和性能感到困扰…
网页文本批量替换解决方案:chrome-extensions-searchReplace如何重塑内容编辑流程
网页文本批量替换解决方案:chrome-extensions-searchReplace如何重塑内容编辑流程 【免费下载链接】chrome-extensions-searchReplace 项目地址: https://gitcode.com/gh_mirrors/ch/chrome-extensions-searchReplace 在日常网页内容编辑工作中,…
【课程设计/毕业设计】基于 SpringBoot 的患者就诊信息管理系统的设计与实现 基于 SpringBoot 的医生接诊与处方管理系统的设计与实现【附源码、数据库、万字文档】
博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am…
numb.nvim 常见问题解答:从安装到使用的 10 个实用技巧
numb.nvim 常见问题解答:从安装到使用的 10 个实用技巧 【免费下载链接】numb.nvim Peek lines just when you intend 项目地址: https://gitcode.com/gh_mirrors/nu/numb.nvim numb.nvim 是 Neovim 编辑器中最实用的预览插件之一,它能在你输入 :…
从MOS管到变压器:手把手教你用LTspice仿真分析功率器件中的寄生电容效应
从MOS管到变压器:用LTspice深度解析功率器件寄生电容效应当你在调试一个Buck变换器时,是否遇到过开关波形出现异常振铃?或者发现效率比理论计算低了5%却找不到原因?这些问题的罪魁祸首往往就藏在那些看不见的寄生电容里。作为硬件…
LED驱动技术全解析:从核心架构到实战选型与避坑指南
1. 从一颗灯珠到千亿市场:LED驱动的技术演进与商业逻辑十几年前,当我第一次从料盘上拿起一颗0603封装的白色LED时,它微弱的光晕和高达几块钱的单颗成本,让我很难想象今天它几乎照亮了我们生活的每一个角落。从手机屏幕的一抹背光&…
索引堆及其优化
索引堆及其优化 引言 索引堆是一种数据结构,广泛应用于计算机科学和软件工程领域。它主要用于解决优先队列问题,如最小堆和最大堆。本文将详细介绍索引堆的概念、实现方法以及优化策略。 索引堆的定义 索引堆是一种基于堆数据结构的索引机制。它通过维护一个堆来存储数据…
从零到日增237精准粉丝,我靠CSDN这张AI卡片爆了!手把手复刻全流程,含配置避坑清单
更多请点击: https://intelliparadigm.com 第一章:CSDN AI 数字营销的官方引流卡片是什么功能? CSDN AI 数字营销平台推出的「官方引流卡片」,是一种面向技术创作者的轻量级、可嵌入式内容分发组件,专为提升博文、教程…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…